安全之安全(security²)博客目录导读

目录

一、重置取消

二、应用处理单元（PE）初始启动

三、MSD初始化

四、GPT初始化

五、初始启动退出（由所有应用PE执行）

六、RMSD初始化

七、PE进入丢失上下文的低功耗状态

---

本博客提供了RME系统初始化流程的示例，并描述了系统组件之间的关系以及系统启动序列的相应安全注意事项，不包括有关安全启动序列或软件测量流程的具体细节。

一、重置取消

• RME系统重置取消。
  • SMMU连接的GPC（GPCs）假定默认策略，阻止所有内存访问。
    • 这不会阻止诸如HES之类的受信任请求方访问系统资源。
  • MMU连接的GPC假定默认策略，允许MSD访问系统。
  • MPE处于重置状态。硬件将表格、寄存器或缓存中的所有机密加密上下文设置为零，有效地清除DRAM内容。
• HES开始执行并测量SSD状态，例如受信任子系统的固件镜像。
• 受信任的SCP开始执行并进行系统初始化，包括DRAM配置。

二、应用处理单元（PE）初始启动

• 由应用PE初始启动代码执行，例如在EL3上执行的PE启动ROM和HES。在以下示例中，PE启动ROM执行MSD固件的测量。
  • HES释放应用PE重置。
  • PE启动ROM将MSD固件镜像加载到MSD SMEM锁中，进行测量，并将MSD测量结果提交给HES。
  • PE启动ROM验证MSD固件，例如使用MSD验证密钥，并启动MSD。
  • MSD确定是否需要全局初始化，例如在cold reset后是否为主PE。
    • 如果需要，执行MSD初始化。否则，在完成本地PE初始化后跳过至初始启动退出。
    • 在MMU启用之前，所有PE内存访问都在Root PAS中。

三、MSD初始化

• MSD固件完成系统初始化操作。这包括：
  • 配置未由受信任SCP或HES配置的任何MPR。
  • 作为可选步骤，启动S-EL2固件镜像以执行系统初始化操作，例如DRAM和互连配置：
    • 首先，执行GPT初始化，但仅配置包含“允许所有访问”的块描述符的0级GPT条目。 · 这保持了在EL2或更低异常级别执行时GPC始终启用的行为。
    • 其次，加载、验证并启动S-EL2镜像。S-EL2固件执行并将控制权返回给MSD初始化。
  • 锁定并验证系统中的所有可测量寄存器。
  • 执行GPT初始化。

四、GPT初始化

• 系统中的SMMU附加GPC和MPE通过MSD资源发现进行识别。
• MSD配置系统的SMMU附加GPC和MPE，以启用GPT的安全初始化。
  • 使系统中所有在PoPA之前的数据/统一缓存失效，包括私有和共享缓存，以防止使用脏缓存行的GPT损坏。
    • 如果GPT初始化在重置后立即发生，系统默认行为可能会确保这一点，无需显式失效。
  • 确保MPE执行Root PAS主内存（如DRAM）的必要加密和完整性属性。
  • 确保在GPT初始化期间非受信任请求方被阻止访问DRAM。
• MSD初始化GPT：
  • 解析系统物理地址空间大小、主内存范围和物理粒度大小。
    • 这可以使用来自固件表的信息完成。
  • 解析为GPT分配的可用Root PAS SMEM和DRAM资源，例如通过MSD资源发现。
    • GPT分配的示例： · Level 0 GPT在SMEM中，其大小由受保护物理地址大小和0级GPT条目的窗口大小定义。例如，如果受保护物理地址大小为8TB，则Level 0 GPT需要64KB的SMEM。 · Level 1 GPT在DRAM中，其大小由系统中的DRAM总量定义。
  • 初始化0级GPT默认值。例如：
    • DRAM区域的0级条目：配置1级GPT表描述符。
    • 非DRAM区域的0级条目：配置为“允许所有访问”。
  • 初始化1级GPT默认值。
    • 在存储GPT本身的地址范围内，分配给Root PAS。
    • 可选地，将DRAM carve-out内存范围分配给Realm PAS和Secure PAS。
    • 对于其余的主内存地址范围，分配给非安全PAS。
  • MSD通过以下操作完成GPC配置：
    • 启用MMU附加GPC和SMMU附加GPC。
    • 使所有GPT缓存失效，以实施新的GPT配置。
    • 在启用MMU附加GPC后，MMU可以启用。

五、初始启动退出（由所有应用PE执行）

• 在允许其他安全状态的启动操作之前：
  • 清除可能包含RMSD或Realm状态的任何PE寄存器，除非PE热重置或冷重置能保证其重置为常量值。
  • 清除之前启动时可能分配给RMSD的任何SMEM内容。
  • 使PE GPT缓存失效，以在GPC启用前刷新陈旧状态。
  • 一旦主PE完成GPT初始化，启用MMU附加GPC。
    • 在GPC启用后，可以启用MMU。
  • 对于主PE，确保所有PE TLB、私有缓存和共享缓存都已失效。这样可以清除之前启动的任何潜在机密。
  • 对于所有其他PE，确保所有PE TLB和私有缓存都已失效。这样可以清除之前启动的任何潜在机密。

六、RMSD初始化

• 在MSD加载、验证和启动RMSD镜像之前，它执行以下操作：
  • 从RNVS读取系统属性，并验证是否满足启用RMSD功能的最低条件。
  • 分配所需的RMSD SMEM和DRAM资源。DRAM资源可能已经在GPT初始化期间分配。
  • 确定RMSD的外部调试状态。这会影响RMSD启动状态的派生方式。
  • 使用RNVS参数派生RMSD启动状态，如[2]中定义。
• RMSD在启动过程中执行以下操作：
  • 查询MSD，获取分配给RMSD的SMEM和DRAM资源的位置和大小。
  • 使用RMSD启动状态初始化RMSD。

七、PE进入丢失上下文的低功耗状态

• MSD镜像执行操作，确保PE在进入低功耗状态时退出一致性域，而不在任何将要断电的缓存中留下脏拷贝。
• 然后，MSD镜像可以在PE进入低功耗状态之前禁用其GPC。

在低功耗状态期间，PE不进行访问。退出低功耗状态时，指令执行从MSD开始。